现实情况

美国具有里程碑意义的隐私措施终于实现。经过多年的积累，内斗以及可能面临更严格的修改和投票倡议的威胁，加利福尼亚州立法机构已经将其消费者数据保护法规纳入法律。

加利福尼亚消费者隐私法案（CCPA）即将于2020年1月1日生效，但是在加利福尼亚境内开展业务或收集其公民数据的组织需要在这些新法规生效之前做好准备。加州长期以来一直是美国针对个人信息安全和数据隐私保护立法的领导者，但该法规对当地的影响仅仅是个开始。加利福尼亚州是全球第五大经济体，拥有超过3900万居民，其巨大影响力远远超出其边界。因此，CCPA（很像欧盟的《通用数据保护条例》）可能会影响全球的实体和组织。

此外，除了欧盟通用数据保护条例（GDPR），中国、巴西、印度等国家也已经颁布或正在考虑类似的法律法规，全球各地的国家都在实施自己的类似隐私法律形式。这些法律之间的共同点是认识到个人希望个人信息拥有更大的所有权这一事实，并且对收集和处理个人信息的组织有更严格的要求。这两个想法正在推动全球隐私权和法规的扩展。

为了使个人能够更好地控制自己的个人信息，CCPA采取了一项称为“被遗忘权”的措施。GDPR和巴西最近通过的数据保护法，即Le Geral deProteçãode Dados（LGPD）中也采用了这一措施，在个人信息的使用方式上授予个人特定权利。根据CCPA，这些权利允许消费者要求组织删除其拥有的有关这些个人的任何信息。除非由于令人信服的法律或商业利益而对该组织拥有的消费者数据进行处理，否则法律要求该组织必须遵守消费者删除有关数据的请求。

但是，在某些情况下，组织可以拒绝该请求。CCPA概述了该要求的九种可能的例外情况，例如遵守法律义务，这些例外情况具有令人信服的法律或商业利益。这留下了很大的解释空间，这可能导致有关组织有权忽略个人要求删除其数据的权利的争议。为了准备应对这些有争议的请求的可能性，现在是时候确定您的组织是否具有正确的策略，过程和技术来响应这些删除请求。如果没有，您需要快速采取行动以确保充分考虑这些注意事项。

CCPA合规性：满足“被遗忘权”的要求

如果您的企业收到客户的要求删除该个人的个人信息的请求，则对于您的组织而言，提前知道其将如何运作以符合给定的45天响应时间至关重要。由于GDPR和CCPA的达成被遗忘权的过程基本相同，因此，如果您已采取措施遵守GDPR规定的被遗忘权，则您应该处于符合CCPA规定的适当位置版。如果您不在GDPR范围内或尚未开始解决您的企业将如何响应个人权利要求的问题，合规性将更加困难。但是，一切并不会丢失-您仍然可以利用许多其他组织的经验，这些组织已经在您之前完成了合规性流程。

CCPA个人数据的映射数据

准确的数据清单和数据地图对于组织遵守所有个人数据权利要求（包括CCPA尤其是被遗忘的权利）至关重要。如果您不知道个人数据在组织中的位置或哪个系统处理该数据，则根本无法确定您已成功履行了删除数据的义务。此外，一旦删除数据，您将无法预期关联的系统将如何响应。准确的数据清单和地图还可以让您对个人信息进行假名化，这是CCPA和GDPR中特别提到的一种数据保护技术，可以满足他们的许多要求。

CCPA隐私的别名

假名化（PSEudonymization，用化名替换敏感数据的过程）与令牌化（Tokenization，用占位符令牌替换敏感数据的方法）同义。令牌化是一项成熟的技术，多年来一直用于保护支付卡信息（PCI）和其他持卡人数据（CHD），现在已开始用于保护隐私空间中的数据并使其不敏感。类似于用于保护支付应用程序中的CHD的方法，它可用于取消识别个人信息，使敏感数据在没有其他信息的情况下不可读，从而降低了组织在数据泄露时遭受数据失窃的风险。在此特定用例中，对个人信息进行假名化 当涉及到被遗忘的权利时，使用令牌化具有特别的好处。

尽管在组织的实时系统中成功删除个人的个人信息并不是一项艰巨的任务-假设组织拥有更新的数据图和明确定义的操作程序-从备份介质中删除该数据通常是另一回事。这是因为它需要先前对组织的数据环境中的活动系统执行相同的数据映射过程。

从备份中删除信息很重要，原因有两个。首先，它显然符合删除数据的要求。其次，它成功地防止组织无意间从备份中还原某人的已删除信息。

令牌化以符合CCPA

如果您已经标记了个人个人数据的识别元素，那么遵守被遗忘的权利就像删除标记与相应数据之间的映射一样简单。完成删除操作后，组织备份系统中剩下的就是一组不敏感的令牌，这些令牌不再可用于通过将它们与其他信息结合来识别个人。因此，您将履行合规义务，以在整个组织系统中被遗忘的权利。

此外，令牌化具有无与伦比的安全性和降低风险的能力，它实际上可以消除数据被盗的风险。因为令牌化将系统中的敏感数据替换为非敏感占位符，所以它可以防止在发生数据泄露时泄露敏感数据。

该如何正确的选择安全产品？

Vormetric数据安全平台中内含：动态加密（Vormetric应用加密）、动态数据屏蔽（Vormetric批量数据转换）和磁盘级加密（Vormetric透明加密）。企业可以在一套平台内，依据业务和性能要求，用最低的维护成本和造价成本，实现对安全合规性要求的满足。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 欧盟NIS2指令即将出台

• SOC 2合规性：您需要了解的内容和需要做的事情

• Thales与LuxTrust：数据主权和合规性的合作伙伴关系

• 硬件安全模块供应商已做好应对量子安全需求激增的准备

• 合规指南：了解印度的数字个人数据保护法